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安全 增强 的 智能 电网 轻 量 级 匿名 认证 方案 
TW s 胡 潜 波 de 杨 庆 余 E H 思 远 
(湘潭 大 学 a 自动 化 与 电子 信息 学 院 ; b. 网 络 与 信息 管理 中 心 , 湖南 湘潭 411105) 


摘 要 : 现 有 的 智能 电网 身份 认证 方案 大 多 存在 计算 成 本 高 和 认证 流程 复杂 的 问题 ， 不 适用 于 智能 电网 中 资源 受 限 
的 智能 设备 。 而 一 些 轻 量 级 的 方案 却 存在 各 种 安全 漏洞 ， 这 些 方案 都 无 法 在 效率 和 安全 性 之 间 实 现 所 需 的 权衡 。 针 
对 上 述 问 题 ， 基 于 椭圆 曲线 加 密 算 法 设计 了 一 个 增强 的 可 证 明 安 全 的 智能 电网 轻 量 级 匿名 认证 方案 。 引 入 辅助 验证 
器 ， 摆 脱 在 认证 阶段 对 于 电力 供应 商 的 依赖 ， 在 保护 智能 电表 真实 身份 的 条 件 下 实现 网 关 和 智能 电表 之 间 的 相互 认 
证 。 同 时 ， 可 以 通过 伪 身 份 对 恶意 智能 电表 进行 身份 的 溯源 和 撤销 。 通 过 在 随机 预言 模型 下 的 安全 性 分 析 和 仿真 工 
具 ProVerif 证 明了 方案 具备 较 高 的 安全 属性 。 性 能 分 析 表 明 ， 所 提 方 案 能 够 满足 智能 电网 环境 下 对 于 安全 性 和 高 效 
性 的 要 求 。 
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Security enhanced lightweight anonymous authentication scheme for smart grid 


Ding Zhifan*, Hu Hongbo? ^, Yang Qingyu?, Xiao Siyuan? 
(a. College of Electronic Information & Automation,b. Network & Information Management Center, Xiangtan University, 
Xiangtan Hunan 411105, China) 


Abstract: Most of the existing smart grid authentication schemes suffer from high computational costs and complex 
authentication processes, which are not suitable for resource-constrained smart devices in the smart grid, while some 
lightweight schemes suffer from various security vulnerabilities, none of which can achieve the required trade-off between 
efficiency and security. To solve these problems, this paper designed an enhanced provably secure smart grid lightweight 
anonymous authentication scheme based on elliptic curve encryption algorithm. Introducing auxiliary validator to get rid of 
the reliance on the power supplier in the authentication phase and to achieve mutual authentication between the gateway and 
the smart meter under the condition of protecting the true identity of the smart meter. In addition, the scheme can trace and 
revoke the identity of malicious smart meters through pseudo identity. Through the security analysis under the random oracle 
model and simulation tool ProVerif verifies that the proposed scheme has high security properties. Performance analysis shows 
that the proposed scheme can meet the requirements for security and efficiency in smart grid environment. 

Key words: smart grid; identity authentication; elliptic curve; random oracle model; Pro Verif 


0 “引言 应 商 的 电力 数据 库 。 因 此 ， 网 络 安全 成 为 智能 电网 最 关键 的 
T H, 然而 ,传统 的 网 络 安全 技术 如 密码 保护 、 反 恶意 软件 

传统 的 电力 系统 因 其 自身 的 局 限 性 ， 己 不 足以 应 对 新 兴 和 防火 墙 等 都 有 其 自身 的 局 限 性 四 。 为 了 解决 这 些 问 题 ， 需 
工业 生产 以 及 社会 经 济 发 展 的 挑战 。 智 能 电网 作为 下 一 代 电 ”要 将 安全 高 效 的 认证 机 制 集成 到 智能 电网 的 通信 系统 中 ， 以 
力 系统 ， 将 传 感 、 计 算 和 通信 等 先进 技术 嵌入 电网 中 ， 以 提 支持 通信 实体 之 间 安 全 的 信息 交换 ， 同 时 保护 其 隐私 。 身 份 


供 可 行 、 高 效 、 可 持续 、 具 有 经 济 效益 和 安全 的 电力 供应 ， 认证 和 密 钥 协商 方案 是 安全 高 效 的 认证 机 制 ， 能 够 保障 智能 

显著 提高 现 有 电网 的 效率 中。 在 发 电 端 通过 将 可 再 生 能 源 并 ”电网 各 通信 方 的 远程 安全 通信 ， 实 现 数据 机 密 性 、 用 户 隐私 

入 电网 ， 智 能 电网 可 以 实现 更 准确 的 监控 、 潮 流 优化 和 更 环 ”和 消息 完整 性 ， 为 智能 电网 提供 可 靠 的 电力 服务 。 

保 的 绿色 能 源 发 电 媚 。 在 用 户 端 为 了 实现 对 用 户 用 电量 的 实 为 了 应 对 智能 电网 中 存在 的 安全 问题 ， 研 究 人 员 近 年 提 

时 监控 , 智能 电表 等 智能 计量 基础 设施 被 部 署 在 智能 电网 中 ， 出 了 许多 适用 于 智能 电网 的 身份 认证 和 密 钥 协商 方案 ， 但 仍 

每 个 用 户 都 配备 一 个 智能 电表 ， 用 于 定期 收集 用 户 的 用 电 数 ”存在 着 两 个 主要 问题 : 

据 ， 网 关 定期 聚合 区 域内 一 组 用 户 的 用 电 数据 ， 电 力 供 应 商 a) 现 有 的 方案 大 部 分 都 被 指出 存在 各 种 安全 漏洞 , 容易 

分 析 聚 合 的 用 电 数 据 并 动态 更 新 价格 以 实施 用 户 侧 管 理 品 。 遭受 各 类 已 知 攻击 ， 不 能 提供 会 话 密 钥 的 安全 性 或 智能 电表 
尽管 智能 电网 有 许多 优点 ， 但 它 的 互 连 性 和 动态 性 以 及 ”的 匿名 性 ， 无 法 满足 在 智能 电网 环境 下 的 安全 需求 。 

对 信息 通信 技术 和 网 络 系统 的 高 度 依 赖 使 得 智能 计量 基础 设 b) 现 有 的 一 些 方案 由 于 使 用 了 指数 运算 或 双 线性 配对 

施 容易 受到 许多 安全 威胁 ， 如 中 间 人 攻击 、 假 冒 攻击 和 重 放 ”此 类 高 开销 的 操作 而 导致 了 较 高 的 计算 和 通信 成 本 ， 而 智能 

攻击 等 各 类 已 知 攻击 内 。 由 于 电力 供应 商 ， 网 关 和 智能 电表 ”电表 的 资源 十 分 有 限 ， 难 以 满足 方案 的 需求 。 

之 间 的 通信 是 双向 流动 的 ， 攻 击 者 能 够 从 多 个 入 口 渗入 智能 最 近 ，Gope 等 人 中 提出 一 个 空间 数据 聚合 方案 ,用 于 在 

电网 系统 并 窃取 用 户 的 用 电 数据 信 息 ， 并 进一步 入 侵 电力 供 ” ”智能 电网 中 安全 获取 电力 需求 ， 该 方案 包括 两 个 阶段 :认证 
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和 数据 聚合 。 他 们 声称 其 方案 是 安全 的 ， 在 认证 阶段 能 够 实 ”一 种 新 的 基于 匿名 签名 的 认证 密 钥 交换 方案 ， 支 持 在 初始 间 


现 安全 的 认证 和 密 钥 协 商 ， 并 且 具 备 对 已 知 攻击 的 抵抗 力 ， 署 后 添加 新 的 动态 智能 电表 ， 但 是 被 指出 无 法 抵抗 中 间 人 攻 

是 智能 电网 环境 的 最 佳 选择 。 但 是 ， 本 文 发 现 该 方案 无 法 抵 —— 击 和 假冒 攻击 ， 并 且 不 提供 匿名 功能 3。 

抗 密 钥 泄露 伪装 攻击 ， 并 且 其 会 话 密 钥 是 不 安全 的 ， 这 会 严 为 了 保护 智能 电表 的 匿名 性 ， 伪 身份 生成 技术 也 在 不 断 

重 影响 智能 电网 通信 系统 的 安全 性 。 发 展 。2021 年 , Azeem 等 人 09] 提 出 了 一 种 用 于 智能 电网 需求 
为 了 解决 上 述 问 题 ， 本 文 基于 椭圆 曲线 加 密 算法 ， 提 出 。” ”响应 管理 的 轻 量 级 认证 密 钥 方案 ， 使 用 喻 希 散 列 函 数 生成 伪 


一 种 新 的 且 可 证 明 安全 的 智能 电网 轻 量 级 匿名 认证 方案 ,能 。 身份 以 确保 智能 电网 设备 的 匿名 性 , 并且 支 持 伪 身 份 的 更 新 。 
够 满足 智能 电网 环境 的 安全 需求 ， 在 性 能 上 也 更 具 优 势 。 本 ”然而 ， 由 于 哈 希 散 列 函数 的 单 向 不 可 逆 ， 他 们 的 方案 不 支持 
文 的 主要 贡献 有 : 伪 身 份 的 溯源 。2022 年 ，Safkhani 等 人 Do 提出 一 种 智能 电网 
a) 对 Gope 等 人 方案 中 的 认证 阶段 进行 安全 性 分 析 , 证 ”的 认证 和 密 钥 协商 方案 , 使 用 物理 不 可 克隆 函数 PUF) 和 对 称 
明 该 方案 无 法 抵抗 密 钥 泄露 伪装 攻击 ,并 且 其 会 话 密 钥 安 全 ” 加 密 算法 构建 用 户 的 伪 身 份 保证 了 匿名 性 。 但 是 ， 他 们 的 方 
性 薄弱 。 案 不 支持 伪 身 份 的 更 新 和 济源 。Gope 等 人 的 方案 中 在 智能 电 
b) 设计 了 适用 于 智能 电网 的 身份 认证 和 密 钥 协商 方案 , 引 ” 表 上 传 用 户 用 电 数 据 前 ， 电 力 供应 商 ， 智 能 电表 和 第 三 方 聚 
入 一 个 辅助 验证 器 ， 使 得 电力 供应 商 不 介入 方案 的 认证 阶段 。 合 器 进行 身份 认证 ， 确 保 通 信 实 体 的 合法 性 。 该 方案 使 用 对 
c) 本 文 方案 在 消息 认证 时 不 暴露 智能 电表 的 身份 信息 ， 称 加 密 算法 构建 伪 身 份 以 提供 智能 电表 的 匿名 性 ， 有 具备 对 常 
保证 了 智能 电表 的 匿名 性 和 不 可 追踪 性 ， 通 过 对 称 加 密 算法 见 已 知 攻击 的 抵抗 力 ， 并 且 使 用 低 成 本 的 加 密 原 语 实现 了 通 
实现 了 轻 量 级 的 伪 身 份 更 新 ， 特 定 情况 下 通过 伪 身 份 对 恶意 ”信和 实体 之 间 的 轻 量 级 认证 。 然 而 , 本 文通 过 安全 性 分 析 发 现 ， 
智能 电表 进行 溯源 和 撤销 。 Gope 等 人 的 方案 无 法 抵抗 密 钥 泄露 伪装 攻击 , OP BLA VE RH 
d) 使 用 随机 预言 模型 以 及 仿真 工具 ProVerif 证 明了 会 话 安全 性 薄弱 。 
密 钥 的 安全 性 以 及 抵御 各 类 已 知 攻击 的 能 力 ， 与 相关 方案 对 2 ”预备 知识 
比分 析 显 示 所 提 方 案 在 安全 性 ， 计 算 成 本 以 及 通信 量 三 个 方 z 


MAARA. 本 节 主要 介绍 本 文 方案 的 困难 性 问题 、 系 统 模型 等 理解 
" 本 文 所 需 的 知识 。 
1 ”相关 研究 24 困难 性 问题 
近年 来 已 经 提出 了 多 种 加 密 协议 ,包括 数字 签名 、 加 密 、 椭圆 曲线 离散 对 数 难题 (ECDLP): 假设 9 是 一 个 大 素数 ， 


数据 聚合 、 安 全 数据 存储 和 身份 认证 方案 作为 作为 学 术 界 和 G 是 一 个 阶 为 4 的 加 法 循环 群 ， 对 于 给 定 的 PeG 和 a.PeG， 
工业 界 保护 智能 电网 安全 的 解决 方案 鲁 ， 其 中 身份 认证 方案 ”计算 ae 纪 是 困难 的 。 
是 保障 智能 电网 数据 安全 和 实施 隐私 保护 的 第 一 道 防线 ， 是 椭圆 曲线 Diffile-Hellman 难题 (ECDHP): 对 于 给 定 的 
智能 电网 部 署 的 重要 要 求 。2015 年 ，Tsai 和 Lo 采用 双 线 性 Pa Pb PeG, Krpabez,, pHi abez, JE REI o 

配对 提出 了 基于 身份 的 签名 方案 和 基于 身份 的 加 密 方案 ， 实 22 系统 模型 

现 了 服务 提供 商 和 智能 电表 的 相互 认证 。2016 年 ，Odelu 等 如 图 1 所 示 , 在 已 有 模型 "2 的 基础 上 提出 本 方案 的 系统 模 
AUA pgh Tsai 和 Lo 的 方案 外 无 法 保证 智能 电表 秘密 凭证 型， 该 模型 中 有 4 个 通信 实体 : 电力 供应 商 ( PS ), 网 关 ( GW ), 
的 隐私 和 会 话 密 钥 的 安全 性 ， 并 提出 了 一 个 安全 高 效 的 认证 “相应 家 庭 局 域 网 中 的 智能 电表 ( SM )， 辅 助 验证 器 ( AV )。 

密 钥 协 商 方案 ， 成 功 解决 了 Tsai 和 Lo 的 方案 中 存在 的 潜在 
急 私 泄 露 问题 。2017 F, Chen 等 人 0 表明 Odeul 等 人 的 方 
案 U9 容 易 遭 受 假冒 攻击 ， 并 且 可 以 通过 密 钥 生成 中 心 追 踪 知 
能 电表 。 为 了 解决 文献 [10] 中 的 问题 ，Chen 等 人 改变 了 智能 
电表 在 密 钥 生成 中 心 的 注册 方式 ， 智 能 电表 的 身份 在 发 送 前 
被 加 密 ， 并 且 智 能 电表 的 私 钥 不 会 泄露 给 密 钥 生成 中 心 ， 因 
此 不 受 密 钥 生成 中 心 发 起 的 各 种 潜在 攻击 的 影响 。 然 而 ， 上 
述 方案 [9~11] 使 用 了 双 线 性 配对 和 指数 运算 ， 并 且 存 在 密 钥 
托管 问题 ， 因 此 会 产生 较 高 的 计算 成 本 。 
为 了 满足 轻 量 级 的 需求 ， 越 来 越 多 的 研究 人 员 采 用 椭 攻 
曲线 加 密 算法 (ECC) 构 建 智能 电网 认证 方案 。2016 Æ, He 等 
ALAJ Y BEIR Tsai 和 Lo 的 方案 多 中 使 用 双 线 性 配对 和 指数 


NITE 


(CUM, Mme 


家 庭 局 域 网 


运算 而 导致 的 高 计算 成 本 ,提出 了 一 个 基于 椭圆 曲线 加 密 算 图 1 系统 模型 
法 的 轻 量 级 匿名 密 钥 协商 方案 ， 在 没有 可 信 第 三 方 的 情况 下 Fig. 1 System model 
实现 智能 电表 和 服务 供应 商 的 相互 认证 。2018 年 ， a) 电力 供应 商 ( PS )。 它 是 整个 智能 电网 的 管理 员 , 主要 


Abbasinezhad 等 人 0 指出 He 等 人 的 方案 5 无 法 抵抗 已 知 会 。 负责 生成 和 发 放 安 全 参数 ， 对 来 自 网 关 的 聚合 用 电 数 据 进 行 
话 的 临时 信息 攻击 和 智能 电表 的 临时 秘密 值 泄露 攻击 ， 并 提 ” ”监控 和 分 析 并 调整 电价 , 与 文献 [7,21] 相 比 ， 本 方案 中 电力 供 
出 了 一 个 基于 椭 峰 加 密 算法 的 密 钥 协商 方案 ， 能 够 提供 。” ”应 商 只 提供 注册 服务 ， 不 介入 智能 电表 和 网 关 的 身份 认证 和 
会 话 密 钥 的 安全 性 并 且 解 决 了 以 往 方 案 的 密 钥 托 管 问题 , 然 AAR 
而 被 指出 缺乏 智能 电表 的 匿名 性 09。2020 E, Garg 等 人 0 b) 网 关 ( GW )。 它 具有 庞大 的 存储 空间 和 优秀 的 计算 能 
提出 了 一 种 安全 的 身份 认证 方案 ， 将 完全 散 列 Menezes- 为， 收集 并 聚合 来 自 其 负责 区 域内 家 庭 局 域 网 的 智能 电表 加 
QuVanstone(FHMQV) 密 钥 交 换 机 制 和 椭圆 曲线 加 密 算法 相 密 用 电 数 据 ， 将 处 理 好 的 数据 发 送 给 电力 供应 商 。 这 是 一 个 
结合 ， 能 够 抵御 各 类 已 知 攻击 ， 计 算 成 本 低 ， 但 是 被 证 明 无 。 诚实 但 对 智能 电表 的 加 密 用 电 数 据 好 奇 的 半 可 信 第 三 方 实体 ， 
法 实现 智能 电表 的 匿名 性 和 不 可 追踪 性 061。 2021 年 , Srinivas — 收 到 辅助 验证 器 的 用 电 数 据 聚 合 请 求 后 , 对 其 进行 身份 认证 ， 
等 人 [17] 结 合 椭圆 曲线 加 密 算法 和 Schnorr 的 签名 方案 设计 了 ” 认证 通过 即 发 起 与 智能 电表 的 相互 认证 并 建立 会 话 密 钥 。 
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等 : 安 
c) 智能 电表 ( SM )。 它 是 智能 电网 的 终端 设备 ,负责 定期 JS EV. 的 正确 性 , 验证 通过 即 认 证 了 7P4 的 身份 , 最 后 SM. 使 
收集 并 加 密 用 户 的 用 电 数 据 , 这 是 一 种 资源 受 限 的 智能 设备 ， 用 kh HERE TID, 3k TID, ， 存 储 参 数 PID" TID, kh] 。 


存储 空间 和 计算 能 力 有 限 。 3.2 Gope 等 人 方案 的 安全 漏洞 
d) 辅助 验证 器 ( AV )。 它 是 一 个 第 三 方 智能 防 窜改 设备 ， 本 节 展 示 Gope 等 人 方案 的 认证 阶段 无 法 抵抗 2.4 节 构 
向 电力 供应 商 注册 获取 相关 安全 参数 ， 收 到 电力 供应 商 的 用 建 的 攻击 者 4 进行 的 密 钥 泄 露 伪装 攻击 ， 且 无 法 提供 会 话 密 
电 数 据 收 集 指令 后 ， 向 网 关 发 送 用 电 数 据 聚 合 请 求 ， 网 关 需 ，” 钥 的 安全 性 。 
对 其 认证 后 方才 同 智能 电表 协商 会 话 密 钥 。 攻击 者 4 窃听 7P4 和 SM 以 及 TPA 和 PS 之 间 的 通信 通道 ， 
23 安全 目标 并 获取 参数 (PID; N, Vo} 和 {D} ， 根 据 密 钥 泄露 伪装 攻击 的 假 
个 安全 高 效 的 智能 电网 身份 认证 和 密 钥 协商 方案 需 为 RPA, 攻击 者 可 以 获取 Ps 和 7PA 的 共享 私 钥 K ,伪装 成 TPA ， 
通信 实体 提供 良好 的 安全 性 ， 应 实现 以 下 安全 目标 : E Ps 进行 会 话 。 有 具体 攻击 过 程 如 下 。 
a) 相互 认证 : 为 确保 智能 电表 的 数据 上 传 给 授权 合法 的 a) 4 窃听 并 拦截 消息 Wuw {PID N, Vo) 和 {P}， 生 成 随机 
网 关 以 及 网 关 接收 来 自 合法 智能 电表 的 加 密 用 电 数 据 ， 在 智 ŽE Na, HŽ Va =hUD, INAK) ,发 送 消息 Ma, m {PID N,V) | 
能 电表 和 网 关 之 间 应 能 提供 相互 认证 。 QD,,N,,V)) £5 PS 。 
b) 智能 电表 的 匿名 性 不 可 追踪 性 : 确保 攻击 者 无 法 追踪 b) Ps 依据 伪 身 份 PID, 在 数据 库 中 找寻 对 应 SM, 的 真实 
到 智能 电表 的 真实 身份 以 及 智能 电表 在 通信 网 络 中 的 任何 活 。” 身份 ， 并 验证 WwW 和 V 的 正确 性 ， 验 证 通过 则 表明 Ps 认证 了 
动 踪迹 。 SM, 和 4 的 聚合 器 身份 ， 为 SM; 生成 新 的 伪 身 份 PED, EE 
c) 会 话 密 钥 的 前 向 安全 性 : 即使 攻击 者 获得 网 关 和 智能 电 T-hDs, | Ki | N) , x-hO NTN) ROG NA , y TIEN, IK) 
表 的 长 期 秘密 参数 ， 也 能 确保 先前 已 建立 会 话 密 钥 的 安全 性 。 N, , zz || IDsu, |K) © PID" , V, &QCSIENA Io , W=nTyl zl) ， 
d) 抵抗 密 钥 泄露 伪装 攻击 : 即使 网 关 或 智能 电表 一 方 的 ”发 送 消息 Mac» nVSVWIeA. 
私 钥 泄露 ， 攻 击 者 也 无 法 伪装 成 私 钥 泄 露 方 同 另 一 方 进行 密 c) 4 验证 的 正确 性 , 验证 通过 后 计算 TK=x@h(K, I| NA ， 
钥 协 商 。 生成 会 话 密 钥 妃 =AnGK1N lw) ， 伪 造 一 组 SM 的 临时 身份 
e) 抵抗 各 类 已 知 的 攻击 : 能 够 抵抗 假冒 攻击 , 重 放 攻 击 ， TID, = (tid; tidus. stida) ， 使 用 kh 加 密 TiD B[ TID, = Eu [TID] , 
中 间 人 攻击 和 智能 电表 临时 秘密 值 泄露 攻击 。 ib $E V,-nüIDS kh |DO 并 存储 UIDAQE) , E XÉ d E 
2.4 攻击 者 模型 M OnzVI1GC7DVD 给 SM, 。 
本 文 结合 Dolev-Yao 威胁 模型 和 CK 攻击 者 模型 ， 构 造 d) SM, iE SET - hUDs, || K, INO , BE V. 的 正确 性 , 验证 通 
了 一 个 强大 的 攻击 者 ,其 在 概率 多 项 式 时 间 内 具有 以 下 能 力 : 过 即 认证 了 PS 的 身份 ， 计 算 N.-MTUINDOKRO», 
a) 4 可 以 任意 窃听 ， 拦 截 ， 修 改 ， 删 除 ， 注 入 通信 通道 TK-h;|T||N) , kh=hTK||N, |N), PID” SR | IDs, ||k)®z , 
上 的 消息 。 验证 到 的 正确 性 , 验证 通过 即 认 证 了 4 聚合 器 身份 , 最 后 SM, 
b) 4 可 以 获取 系统 先前 的 会 话 密 钥 。 AEH kh RERE TiDi 获得 TD ， 存 储 参 数 (PID; TID ag khi} 。 
c) 在 评估 对 密 钥 泄露 伪装 攻击 的 抵抗 时 ，4 可 以 获取 通 £x E; A 成 功 伪装 成 TPA 同 PS 和 SM; 进行 会 话 ,可 见 Gope 
信和 实体 的 私 钥 。 等 人 的 方案 无 法 抵抗 密 钥 泄露 伪装 攻击 ， 并 且 在 PS 和 7PA 的 
共享 私 钥 K 丢失 的 情况 下 ， 4 能 够 成 功 计算 出 会 话 密 钥 必 ， 


3 Gope 等 人 方案 的 安全 性 分 析 所 以 Gope 等 人 的 方案 无 法 提供 会 话 密 钥 的 安全 | 
在 本 节 中 ， 回 顾 了 Gope 等 人 方案 的 认证 阶段 ， 并 分 析 

E uu T 并 分 析 7 4 ， 提 出 的 方案 及 正确 性 证 明 

3.1 Gope 等 人 方案 认证 阶段 的 回顾 为 了 抵抗 文献 [7] 存 在 的 安全 漏洞 ， 并 确保 智能 电网 的 通 
6 力 供应 商 ( Ps ) 为 家 庭 局 域 网 内 的 每 个 智能 电表 ( SM,) 信安 全 ， 本 文 提出 了 一 个 增强 的 且 可 证 明 安全 的 身份 认证 和 
生成 伪 身份 mm 和 私 钥 后， 并 与 第 三 方 聚合 器 (7PA ) 共 享 私 。” 密 钥 协商 方案 。 该 方案 由 初始 化 、 注 册 、 身 份 认 证 和 密 钥 协 
钥 KK。 。 在 收集 用 户 用 电 数 据 聚 合 前 ， 电 力 供应 商 ,第 三 方 聚 。“ 商 以 及 恶意 智能 电表 撤销 四 个 阶段 组 成 。 

合 器 ,智能 电表 进行 三 方 之 间 的 相互 认证 ， 下 面 是 具体 过 程 。 ”4.1 初始 化 


HE 
o 


a) SM; 生 成 随机 数 N,; ， 计 算 W=MHPID | N, Ik, KA 在 此 阶段 ， 电 力 供应 商 PS 初始 化 生成 以 下 参数 : 
M, :{PID,N,,W} 发 送 给 TPA o a) 选择 大 素数 了 ,9 ,基于 三 选择 一 条 椭圆 曲线 ，# 表 
b) TPA 生成 随机 数 N, HÍT Vi = AUD, |N. | Ko), KORWE 示 为 模 忆 的 有 限 域 , 选择 点 P ARR R E EA a 的 基点 。 
Ma, ={(PID;, N,V) |HD4.N,V)) 给 PS 。 b) 选择 随机 数 skes eZ 作为 PS 的 私 钥 , 计算 plos = skps P 
c) PS 依据 伪 身 份 PP 在 数据 库 中 找寻 对 应 SM; 的 真实 作为 PS 的 公 钥 。 
身份 Dsum , 并 验证 Ww 和 VW 的 正确 性 , 验证 通过 则 表明 Ps 认证 c) 选取 安全 的 单 向 哈 希 散 列 函数 及 o 
了 SM, 和 7PA 的 身份 ， 为 SM; 生 成 新 的 伪 身 份 Pu, VERE d) 定义 一 种 对 称 加 密 算法 Enco ,使 得 Deca (Enca 
T-hDs, | K, || N) , x-AQ ITINO 9h06, |N), y=ATIN, |k) ® (message)) 2 message ， 其 中 大 是 加 密 和 解密 的 密 钥 , Pecw 是 对 称 
N, , Z=ACT || IDsy, |K) 8 PID" , V, -RK, N , =Aalylzlk) ， MZ, message 为 需要 被 加 密 的 参数 。 
发 送 消息 Ma ibo ye Ves VS 4 TPA o 最 后 公布 参数 Usa. E. P, pls, h. Enco} 。 
d) TPA 验证 WwW 的 正确 性 ， 验 证 通过 后 计算 42 注册 
TK -x Oh, |N) ,生成 会 话 密 钥 的 =hCKIIN,]IN,) ,生成 一 组 在 此 阶段 , 辅助 验证 器 ( AV), 网 关 ( GW ) 和 第 i 个 智能 电 


SM, 的 临时 身份 TID — ida, tid. tid), i RE] kh 加密 TID, RD 表 ( SM; ) 通 过 电力 供应 商 ( Ps ) 进 行 注册 ， 生 成 下 一 阶段 所 需 


TID, = E,ITID,] , 3p $E Va - RGID, ||| DA), d£ fi (IDA, JE 的 参数 ， 通 过 秘密 通道 进行 传输 。 
送 消息 Ma (Os 2 V) | TID; VD) 给 SM, , 4.2.1 AV 注册 

e) SM; 计 算 T=h(Dsw | K, || NO ,验证 W 的 正确 性 , 验证 通 AV 选 定 身份 标识 符 Da 发 送 给 PS 请 求 注册 ， Ps 选择 
过 即 认 证 了 PS 的 身份 ， 计 算 NS-hTINOOKROy, 随机 数 skow eZ; R El, AV 选择 随机 数 nez, id 
TK-h||T|N., Kh=h(TKIIN, IN,), PID!” =hT || IDsu, ||k)®z, Ray GE, || n) 并 将 Uv Ra 发送 给 PS 完成 注册 。 
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4.2.2 GW 注册 


a) GW 在 AV 注册 完成 后 即 选 定 身 份 标识 符 Dow 发 送 给 
PS 请 求 注册 。 

b) PS 计算 Row =hskow | Do )-P ， 选 择 随 机 数 ns eZ, , 4 
成 GW 的 签名 Sow — hGGw || IDow)skps+ros ， 计 算 Bim PUDsw || phos) , 
B, =r, 6B, , B, =h(IDowl Dav) 9 rs , Vav =ACRw | rs) 作为 AV 的 认 
证 令 牌 , 为 第 i 个 智能 电表 SM. 选 定 身份 标识 符 IDsw ,将 参数 
{skaw Sow Bs By Viv IDs) 发 送 给 GW o 

c) GW 将 skow 作为 私 钥 , 计算 Pow = skow 'P 作 为 公 钥 , TF 
储 参 数 US Bs Vav, IDs SKow Sow Pkow} ， 选 择 随机 数 和 es2 ， 利 
用 私 钥 skow 加 密 SM; 的 真实 身份 标识 符 IDs ， 生 成 SM. 的 伪 
身份 Du = Encs,, CDanlzo) 并 将 其 发 送 给 PS 完成 注册 。 
4.2.3 SM, 注册 

PS Œ GW 注册 完成 后 生成 M 的 签名 
Ssmi — POPIDsy; sow)skps ， 将 参数 {Ssmi IDs, PIDsmi IDow ] 发送 给 SM, , 
SM; 选择 随机 数 rm EZ, 计算 Sksw = FsmSsmi ， Pksm = fsm ` pkps 分 别 
作为 私 钥 TUA 8, 最 后 存储 参数 {IDsw, TDow, sksw, Pksvi» PIDsmi} 注 
册 完 成 。 
4.3 身份 认证 和 密 钥 协商 
在 此 阶段 , 辅助 验证 器 AV 向 网 关 GW 发 送 用 户 用 
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， 证 明 过 程 


以 下 方程 式 示 出 。 
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Kos = Qsui ` dew Skgyw hCPIDsy; || sow ) = 
DKsui * dsuidow Skowh(PIDsy | sew) = 
Dkps ` 'suidsuidow Skawh(PIDsmi | Sow) = 
P SkosTsyidsuidoy Sky PIDsy; || Sew) = 
rsmih( PIDsy | Sow )Skpsqsmdowskoew `P 


ksa = Sksuidsui: Qow = 


TsuiSsMid si ' Qow 


rg CPDDsy; || Saw )skps qsw * Qow 


ry CPIDsy; Il SGw )Skpsdsuidow * DKow 
rg CPIDs,; | 


随机 预言 模型 下 


SGw Skpsqdsuidow SKoy 


fi) 


安全 模型 进行 


的 安 
模型 
5.1 


mdi: 
K 


表示 M: 的 第 i 个 会 话 实 


全 证 明之 一 。 在 
来 执行 本 方案 的 


Bi 
E MET T 
随机 预言 安全 模型 


的 安全 模型 中 ， 


本 方案 的 身份 认 订 


的 参与 者 ， 假 设 每 个 8 和 GW 能 够 运行 多 个 会 话 ， 


E 和 密 钥 协商 阶段 ， 


-P 


形式 化 安全 性 分 析 
区 式 化 分 析 成 为 现代 密码 学 中 强 有 力 


本 文 使 


随机 预言 


SM, 和 GW 是 两 个 
S; 


聚合 请 求 , 网关 GW 对 辅助 验证 器 AV 进行 身份 认证 ， 
过 即 发 起 与 智能 电表 SM 的 相互 认证 并 协商 会 话 密 钥 。 

a) AV Jf IDs, 发送 给 GW ，GW 计算 B, - hUD,v | pes) , 
ny-B 9B, , R,y-hGko |n) , rs=h(IDowl|JPwy)@B , HS ul 
MRa || rs) Voy 是 否 成 立 ， 成 立 则 AV. 身份 验证 通过 。 GW 选择 随 
机 数 dow € Z; ,计算 Qow = daw ` Pkow ,将 消息 M:{Qow} 发 送 给 SM, 。 

b) SM, 选择 一 个 随机 数 dsm € Zo ， 计 算 Qua 7 dsm Pksmi , 
ksa =skswqsv"Qow AE B A E A RR. Vori = Os) € RUD, | Dow) , 34 
消息 M, {PIDs Qs Vo] 发 送 给 GW 。 

c) GW ik $E kos=Qwwqowvskowh(PIDwalsow) ， 验证 
h(Kos) DADs; || Doy )7 Vsus 是 否 成 立 , 成 立 则 SM, 身份 验证 通过 。 
GW 选择 随机 数 nb eZ; ， 利 用 私 钥 skow 对 SM. 的 伪 身 份 进行 
解密 , BB ODs || Tom) = Decoy CIDsu) ,得 到 sw, 的 真实 身份 标识 符 
1Dw ， 并 为 SM, 生成 一 个 新 的 伪 身 份 PIDSS: = ENC oy Ds | r2) ， 
生成 会 话 密 钥 SKos — Os ll Qow ll) ,计算 XP = PID&Z & GKas) ， 
生成 认证 令 有 牌 Vow — AOPIDI SKos) € PUDss | Dos) ， 将 消息 
M; :{XP, Vow} 发 送 给 SM, 。 

d) SM; 生成 会 话 密 钥 SKs-hQOwlOsl&o ,计算 
PID = XPORGKs;) ， 验 证 等 式 PID | SKs;) 6 IDs; 


验证 通 


每 个 会 话 实例 都 被 称 为 一 个 预言 机 
预言 查询 时 ， 预 言 机 需要 


例 ， G; 表示 GW 


的 第 7 个 会 话 实例 ， 


L。 当 攻击 者 对 预言 机 发 起 


oe{S,0/} ， 在 随机 预言 模型 中 ， 
之 一 。 概 率 多 项 式 时 间 内 
修改 ， 删 除 ， 注 入 通信 通道 


AA 


通道 


进行 
2 将 


=A 


会 话 密 钥 返 下 
随机 字符 串 ， 其 长 度 跟 会 话 密 
安全 性 定义 : 本 方案 


返回 相应 的 响 


应 参数 。 定 义 实例 


o 


E3 


询 体现 。 


Extract(0) ; 此 查询 月 


代表 两 个 会 话 实例 5 和 6, 
的 攻击 者 4 可 以 任意 
上 的 消息 ， 其 攻 


于 模拟 A 的 被 动 攻击 ， 


拦截 
以 下 预 


Hil 
ET 
am 
CC 


4 可 以 获取 


PAS 


通信 方 在 


共通 信 通 道上 的 所 有 消息 。 


send(0, M) ; 


上 获取 到 的 消 


Corrupt(o) ; 


比 查询 | 
BM RERO, 


Test(o) : 此 查询 
Test(o) 查询 后 


人 


给 4 


o 抛掷 


的 安全 | 


于 模拟 4 的 主动 攻击 ，4 将 在 通 
2 将 相应 的 消息 返回 。 
此 查询 使 4 获取 实例 o 的 长 期 秘密 参数 。 
于 模拟 实例 o 会 话 密 钥 
个 人 硬币 5b , 如果 b=1 (硬币 为 正 
， 如 果 b=0 (硬币 为 反 男 


了 此 


n 


的 语义 安全 性 。 
tii), 
i)， 则 返回 给 A 


钥 相等 。 
后 通过 游戏 GG =0,1,2,3,4,5) 进行 


评估 , 在 游戏 中 4 可 以 对 。 发 起 多 次 Tew(o) 查询 , 收 到 查询 后 


抛掷 硬币 2 (结果 为 0 或 1 )， 如 果 


4 正确 猜 


中 5b 值 ， 则 认为 4 赢 


得 游戏 ， 将 攻击 者 4 攻破 本 方案 5 安全 性 的 优势 定义 为 


(1) 


Po 值 的 概率 ，= 是 一 个 及 


攻击 者 A 在 概率 多 项 式 时 间 内 赢得 游戏 C. 的 概率 


性 的 最 大 优势 为 


+ Advga (A) + Advgcprp (A)) (2 ) 


是 哈 希 查询 的 规模 ，4dvew(4 表示 A 违反 对 称 加 
Advecorr (A) 表示 概 率 多 项 式 时 间 内 A 解 


通过 游戏 GG=0123.435) 推导 4 攻破 本 方案 5 的 


5b 值 的 概率 。 
FAzo tF] 


6) 


该 游戏 通过 执行 Extraerco) 查询 模拟 A 的 被 动 攻 


|| Dew) — Vow 是 否 成 立 , 成 立 则 GW 身份 验证 通过 ，Sw, 更 新 自 Adv; (A) - 2Pr[Succ,] -1|« € 
C fs Er pr PID 用 于 下 一 次 认证 。 其 中 ，PrtSuccs] 是 A 在 游戏 G 中 猜 9 

最 后 GW 和 SM 存储 会 话 密 钥 SK (SKos - SKsc ) 用 于 它们 其 小 可 忽略 的 值 。 
之 间 的 进一步 交互 。 5.2 ”安全 性 分 析 
4.4 恶意 智能 电表 撤销 定理 1 

25 GW 检测 到 其 管辖 区 域内 的 智能 电表 存在 恶意 行为 ， 是 可 以 忽略 的 ，4 最 多 能 够 执行 % 次 哈 希 查询 ，4, 次 Send 查询 
如 发 送 错误 的 认证 信息 或 电力 消费 数据 异常 等 ,向 Ps 提出 身 EJ a. 次 Execute 查询 ，4 攻破 方案 5 安全 
份 溯源 请 求 。PS 对 该 智能 电表 的 数据 和 行为 进行 审核 后 , 将 Addicts B o Med our d 
恶意 智能 电表 的 伪 身 份 PPw 发 送 给 GW 进行 溯源 。 由 于 智 Hash| | Hash | 
能 电表 的 伪 身 份 是 由 GW 生成 的 ， 所 以 只 有 GW 能 够 对 智能 其 中 ，|Hash 
电表 的 伪 身 份 进行 溯源 。 密 算法 Encw 的 优势 ， 

GW 利用 私 钥 skow 对 恶意 智能 电表 的 伪 身 份 Pu 进行 W ECDLP 的 优势 。 
解密 锁定 其 真实 身份 ， 并 将 其 通过 秘密 通道 传输 给 PS ，PS 证 明 通 
将 恶意 智能 电表 的 真实 身份 和 伪 身 份 一 起 添加 到 撤销 列表 中 ， ”优势 ， Prtsucc] 表示 A 猜 中 游戏 G 中 硬币 
通信 系统 中 的 所 有 成 员 均 可 查询 撤销 列表 以 避免 与 列表 中 的 DEIR Go: 该 游戏 模拟 的 是 真实 的 攻 也 
恶意 智能 电表 交互 。 Advs (A) 4 2Pr[Succo]—1| 
4.5 正确 性 证 明 WX: 

证 明 GW 生成 的 会 话 密 钥 SKos — IOS | Oow l&cs) Ej SM, 生 击 。4 通 过 窃听 得 到 


成 的 会 话 密 钥 SKsc =h(Qs Qow llksc) 相等 ， 需 要 证 明 kos 与 kso 


消 息 M,:(Qsw] š M; : {PIDs, Qsmi Vsm} ， 


M3:{XP,Vow} ,但 是 4 无 法 通过 这 些 消息 计算 会 话 密 钥 SK 。 所 
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以 在 该 游戏 结束 时 ， 


TER, Ẹ: 


A 进行 Test(o) 查询 无 法 判断 o 3a [n 


数 是 真实 的 会 话 密 钥 还 是 等 长 随机 字符 串 。 因 
攻击 场景 相 比 ，4 在 该 游戏 中 并 没有 增加 优势 ， 
Pr[Succ, ]-Pr| Succ] 
游戏 C. : 该 游戏 去 除 游戏 G PETER D 
拟 4 的 主动 攻击 。 
情形 1 根据 生日 悖 论 ]， 哈 希 查询 的 输出 发 生 碰撞 ， 


概率 小 于 等 于 用 /2 


Hash| 。 


情形 2 ”选取 的 随机 数 发 生 和 而 


(q, +q4.) /2p o 


除了 


Jb, 


的 参 


与 真实 的 
所 以 有 
(4) 


种 碰撞 情形 ， 模 


FE 发 生 上 述 磁 j 


Pr[Succ,]— Pr[Succ;] € 


qi 
2| Hash | 


&, 否则 G 与 G 不 可 
(gs + 4. 


撞 ， 其 概率 小 于 等 于 
区 分 ， 因 此 有 


2p 


(5) 


游戏 G :该 游戏 去 除 游戏 G 中 4 无 须 进 行 哈 希 查询 而 猜 


测 到 认证 令 牌 vw 或 Vow 的 情形 ， 这 种 情 
q,/| Hash| , 因此 有 


游戏 G,: 该 游戏 去 除 游戏 G 


ds 
Pr[Succ;]- Pr[ Succ, ] x 一 一 一 
[ a] [Succ] | Hash 


的 概率 小 于 等 


(6) 


P 4 对 PIDss 成 功 解密 获得 


(7) 


IDs; 的 情形 ， 因 此 有 
Pr[Succ,] - Pr[Succ;] < Adve CA) 
游戏 Gs: 该 游戏 对 游戏 G 进行 修改 , 模拟 4 的 密 钥 泄露 


的 参数 ， 


Qsmi = 4sm 
(ECDLP 
"TUR 


TR 


t 知 {sKw » Qow » Qsmi» PKsmi } 的 情 Hl F x 
SKsc = h(Osy; | Qow l| Ks) , 


i` PKsyi 中 得 到 dsui 需要 解决 椭圆 HH 


在 该 游戏 中 ， 


执行 corapro) 查询 获得 % 和 G 的 长 


要 


Eg 
Tiu 


要 


为 装 攻击 。 在 该 游戏 中 A 执行 Betracilo) 查询 获取 通信 通道 上 


it T kso = SKsudsu Cow , 


RA 


» HF G 同 理 。 


H 
LI 


Pr[Succ;] — Pr[Succ,] € Advgcp p 


4 在 猜测 b 值 上 


1 
Pr[Succ;]- 2 


根据 式 (3) 和 (4)， 得 到 


1 


丸 此 ， 比 较 该 游戏 与 游戏 G 的 


(A) 


没有 增加 优势 ， 


居 式 (9) 和 (10)， 得 到 


1 
— Adv, (A) -] 
2 vs CA) 


根据 式 (5)~(8) 和 三 角 不 等 式 ， 得 到 


Pr[Succ;]— Pr[Succs]|= 


n (A) 4 Pr[Succ;] : H Pr[Succ,] : | 


Pr[Succ; ] — Pr[Succ;]| 


IPr[Succ,] - Pr[Succ, ] - Pr[Succ; ] - Pr[Succ, ]- 
Pr[Succ,]— Pr[Succ;]-- Pr[Succ,]— Pr[Succ;]|s 
Pr[Succ] — Pr[Succ,]| | Pr[Succ;] - Pr[Succ;]]| + 


|Pr[Succ,] - Pr[Succ,]| * | Pr[Succ;] - Pr[Succs]|€ 


(q, * 4.) 
2p 


di 
2| Hash | 


4 ds 
| Hash | 


EX DARIO2) f$ 81) 


| Hash | p | Hash | 
此 ， 定 理 一 证 毕 。 以 上 证 明 过 程 意味 着 4 在 游戏 中 获胜 


秘密 参数 。 在 
想 获得 5; 的 会 话 密 钥 


但 从 
散 对 数 难 题 


区 别 


(8) 
此 


(9) 


(10) 


a1) 


(12) 


+ Advga, (A) + Advgep p (A) 


A) e — i LR oc adv, (A)+ Adeco (A) 


的 概率 是 可 忽略 的 ， 
ProVerif 仿真 分 析 


6 


ProVerif 是 5 
文 持 多 种 密码 学 原 语 ， 如 加 密 、 解 
An 


n 


AM icf 


is 


上 
HH 


TE 


自动 


因此 , 本 方案 在 随机 预言 模型 下 是 安全 的 。 


化 密码 协议 仿真 工具 ， 
密 、 数 字 签名 、 散 列 函 数 


等 ， 并 指定 了 
认证 性 以 及 观测 等 效 性 。 它 由 三 个 部 分 组 


重 写 规则 和 方程 式 。 该 工 


LX, B 


能 够 证 明 可 达 性 、 


协议 输入 、 


系统 处 到 
轴 辑 来 编码 的 协议 ， 系 统 处 到 
协议 的 安全 性 进行 推 
满足 某 种 特定 
ProVerif 中 还 具有 一 个 攻击 者 模型 ， 
改 或 重新 传输 消息 ， 这 些 攻击 仅 受 到 加 密 方法 的 P 
本 文 将 所 提 方 案 在 ProVerif 中 建 模 为 四 个 不 同 的 场景 ， 
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E 和 结果 和 输出， 系统 输入 部 分 是 运用 Pi 演算 或 Horn 


的 安全 


可 


部 分 是 运用 


此 外 ， 


阶 逻 辑 对 编码 的 
导 ， 结 果 输 出 部 分 能 够 在 编码 的 协议 不 
属性 时 给 出 相应 的 攻击 序列 。 


以 进行 窃听 、 拦截 、 修 


民 制 | 。 


以 便 证 明 所 提 方 案 对 已 知 攻击 的 抵抗 能 力 ， 并 且 进 一 步 验 证 
方案 具备 智能 电表 的 匿名 性 和 会 话 密 钥 的 前 向 安全 性 。 


抵抗 假冒 、 重 放 、 中 间 人 等 常见 的 攻 


使 


性 和 方案 的 可 达 性 ， 


在 场景 一 中 ， 没 有 泄露 任何 的 秘密 参 


中 进行 建 模 , 对 一 些 常见 的 攻击 进行 查询 ， 


数 


了 智能 


证 明 


Hi 
o 


Completing equations... 

Completing equations... 

-- Process 1-- Query not attacker(SK) in process 1 
Completing... 


200 rules inserted. Base: 175 rules (40 with conclusion selected). Queue: 44 rules. 
400 rules inserted. Base: 364 rules (62 with conclusion selected). Queue: 37 rules. 


© 


Starting query not attacker(SK) 

RESULT not attacker(SK) is true. 

-- Query not attacker(IDSMi[]) in process 1 
Completing... 


200 rules inserted. Base: 175 rules (40 with conclusion selected). Queue: 44 rules. 
400 rules inserted. Base: 364 rules (62 with conclusion selected). Queue: 37 rules. 


© 


Starting query not attacker(IDSMi[]) 

RESULT not attacker(IDSMi[]) is true. 

-- Query inj-event(endSMi) ==> inj-event(startSMi) in 
Completing... 


process 1 


200 rules inserted. Base: 171 rules (33 with conclusion selected). Queue: 42 rules. 
400 rules inserted. Base: 358 rules (58 with conclusion selected). Queue: 88 rules. 
Starting query inj-event(endSMi) ==> inj-event(startS Mi) 


RESULT inj-event(endSMi) ==> inj-event(startSMi) is true. 


-- Query inj-event(endGW) ==> inj-event(startGW) in 
Completing... 


process 1 


© 


200 rules inserted. Base: 176 rules (33 with conclusion selected). Queue: 37 rules. 
400 rules inserted. Base: 365 rules (62 with conclusion selected). Queue: 57 rules. 
Starting query inj-event(endGW) ==> inj-event(startGW) 


RESULT inj-event(endGW) ==> inj-event(startGW) is true. 


Z] 


2 场景 一 的 
Fig.2 Simulation results of 
在 场景 二 中 ， 验 证 本 方案 具备 会 


Hom 4 


长 


AN 


力 


(net, GSkSMi, skGW))) 向 攻击 者 泄露 智能 


询 结果 如 图 4 所 示 ， 攻 击 者 获取 会 话 密 钥 失败 。 


的 抵抗 力 ， 


out 


DIESE ul 


7 


e 


Completing equations... 

Completing equations... 

-- Process 1-- Query not attacker_p1(SK) in process 1 
Completing... 


仿真 验证 结果 


scenario 1 


@ 


话 密 钥 的 前 向 安全 性 ， 
(1 pGW)|CpPS)|CpSMi) | (| pAV) |Cphasel; out(net; 
(PKSMi, pkGW. skSMi, skGW, sGW»))) 向 攻击 者 泄露 会 话 密 钥 中 的 
期 秘密 参数 ， 查 询 结 果 如 图 3 所 示 ， 攻 击 者 获取 会 话 密 钥 


200 rules inserted. Base: 180 rules (59 with conclusion selected). Queue: 31 rules. 
400 rules inserted. Base: 364 rules (89 with conclusion selected). Queue: 70 rules. 


Starting query not attacker_p1(SK) 
RESULT not attacker pl(SK) is true. 


Ea 


Fig.3 Simulation results of 
在 场景 三 中 ， 验 证 本 方案 
， 使 用 命 


HJ 


La ur) I RED Ed 


令 (!pGW)|QpPS)| C pSMi)| C pAV) | (phase2; out 


3 场景 二 的 仿真 验证 结 


scenario 2 


[| 


Completing equations... 

Completing equations... 

-- Process 1-- Query not attacker p2(SK) in process 1 
Completing... 


TOES 


， 仅 对 方案 在 ProVerif 
电表 的 


仿真 结果 如 图 2 所 示 , 结果 QD 是 对 方案 可 达 怕 


匿名 


HT 


的 查询 , 证 明了 会 话 密 钥 的 安全 性 ; 结果 @ 证 明了 智能 电表 的 匿名 
性 ; 结果 @ 和 Q@ 表 明智 能 电表 和 网 关 可 以 进行 相互 认证 , 并 且 能 够 


Lx 


JL 


电表 和 网 关 的 私 钥 ， 碍 


200 rules inserted. Base: 179 rules (73 with conclusion selected). Queue: 41 rules. 
400 rules inserted. Base: 363 rules (105 with conclusion selected). Queue: 69 rules. 
600 rules inserted. Base: 556 rules (115 with conclusion selected). Queue: 19 rules. 


Starting query not attacker p2(SK) 
RESULT not attacker p2(SK) is true. 


Fig.4 Simulation results of 


Q4 场景 三 的 仿真 验证 结果 


scenario 3 


四 中 ， 


验证 本 方案 


在 场景 


LA EIE 


(net, (qSMi, OSMi))) 向 攻击 者 泄露 智能 
ZI 


性 能 分 析 


本 节 从 安全 性 ， 计 算 成 本 以 及 通信 


言 量 三 个 方 


电表 临时 秘密 值 泄露 
使 用 命令 «1 pGW) | t pPS)| C pSMD | C pAV) | Chase; 
电表 的 临时 秘密 值 , 查 
5 所 示 ， 攻 击 者 获取 会 话 密 钥 失败 。 


TEDES 
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进行 性 能 分 析 , 将 本 方案 与 文献 [7,9,10,12,17,19,20] 的 方案 进 由 表 1 和 2 可 知 ， 本 方案 在 提供 足够 安全 性 的 同时 ， 也 
行 比 较 。 能 够 保证 较 低 的 计算 成 本 和 通信 量 。Gope 等 人 方案 中 足够 轻 
eee baee 量 级 ， 然 而 却 存 在 安全 性 不 足 和 认证 流程 复杂 进而 导致 通信 
-- Process 1-- Query not attacker_p3(SK_GW_SMI[]) in process 1 opui pe. ul ES M x 
no ie DM Base: 184 rules (75 with conclusion selected). Queue: 36 rules. 量 过 高 的 问题 ， 无 法 兼顾 高 效 性 和 安全 性 。 此 外 ， Gope 等 人 
SO ruis Ime ried, Hace. Sek rule (HO Goth sachen selected Ded: 1A Tole 的 方案 不 支持 伪 身 份 的 更 新 和 溯源， 而 本 方案 GW 在 会 话 中 
RESUP Mod PASK OW SN) ftue. 能 够 生成 新 的 智能 电表 伪 身 份 PP 并 发 放 给 SM; ，SM, 则 更 
图 5 场景 四 的 仿真 验证 结果 新 伪 身 份 用 于 下 一 次 会 话 。 同 时 ， 本 方案 能 够 通过 伪 身 份 济 
Fig. 5 Simulation results of scenario 4 源 恶 意 智 能 电表 的 真实 身份 并 将 其 撤销 。 
如 表 1 所 示 ， 在 安全 性 上 ， 本 方案 能 够 提供 相互 认证 、 表 2 计算 成 本 和 通信 量 对 比 
智能 电表 的 匿名 性 和 不 可 追踪 性 、 会 话 密 钥 的 安全 性 以 及 抵 Tab.2 Calculation time and traffic comparison 
抗 各 类 已 知 的 攻击 。Gope 等 人 方案 中 无 法 提供 相互 认证 和 会 方案 操作 计算 成 本 /ms ”通信 和 量 /bit 
话 密 钥 的 安全 性 ， 并 且 无 法 抵抗 密 钥 泄 露 伪装 攻击 。 其 他 文 文献 [9] 107, € 7T, & 2T, 十 27 +27, 34.9846 3552 
献 [9,10,12,17,19,20] 的 方案 也 均 存 在 各 种 安全 缺陷 , 因此 就 安 文献 [10] — 127, +5T, +67 «2T, +27, 30.6524 3712 
全 性 而 言 ， 本 方案 优 于 现 有 方案 。 文献 [12] 1IT, +107, +37, 22.3717 2240 
采用 文献 [24] 在 Ubuntu12.04.1 LTS 32 位 操作 系统 上 获 文献 [17] 14T, +67 - 2T, 13.4458 2080 
得 的 实验 结果 对 比 8 个 方案 在 认证 阶段 的 计算 成 本 。 哈 希 操 文献 [19] 187, 0.0414 1920 
作 的 计算 成 本 五 =0.0023ms; 对 称 加 /解密 的 计算 成 本 Tv = 文献 [20] 7T, +77, 8T; 15.6349 1440 
0.0046ms; ECC 点 乘 的 计算 成 本 五 =2.226ms; ECC. 点 加 的 计 文献 [7] 22T, +T ya 0.0598 3040 
算 成 本 五 =0.0288ms; 指数 运算 的 计算 成 本 工 ~ 3.85ms; 双 线 本 文 方案 127, +772 + AT;, 8.9523 1760 
性 配对 的 计算 成 本 为 7,*x5.811ms, 个 别 操作 由 于 计算 成 本 过 


氏 忽 略 不 计 P5。 通 信 量 是 协议 执行 期 间 通 过 网 络 传输 的 总 位 8 结束语 

数 , 较 低 的 通信 量 可 提供 更 快 的 数据 传输 和 更 少 的 时 间 延 迟 ， 本 文 针 对 现 有 智能 电网 通信 认证 方案 安全 性 不 足 和 效率 

为 了 计算 通信 量 ， 假 设 身 份 标识 ， 随 机 数 ， 哈 希 散 列 输出 ， 低 的 问题 ， 分 析 证 明了 Gope 等 人 方案 的 安全 漏洞 ， 并 基于 

时 间 戳 ， 对 称 加 /解密 块 等 为 160 bit;， 椭圆 曲线 上 的 点 为 320 ”椭圆 曲线 加 和 密 算法 提出 了 一 个 适用 于 智能 电网 的 身份 认证 和 

bit; 双 线 性 映射 组 的 生成 元 G 为 1024 bit。 表 2 为 计算 成 本  ” 密 钥 协商 方案 ， 通 过 仿真 工具 ProVerif 和 理论 分 析 验 证 了 所 
提 
po 


和 通信 量 的 对 比 结 果 。 方案 的 安全 性 ， 与 同类 认证 方案 对 比 表 明 ， 所 提 方 案 在 安 


在 计算 成 本 方面 ， 本 方案 主要 采用 哈 希 散 列 函 数 和 二 进 全 性 ， 计 算 成 本 和 通信 量 三 个 方面 均 具 有 优势 ， 能 够 满足 智 
制 运算 此 类 轻 量 级 运算 ， 同 时 辅 以 ECC 点 乘 运算 和 对 称 加 / ”能 电网 在 通信 过 程 中 对 于 安全 性 和 高 效 性 的 要 求 。 
解密 运算 , 计算 成 本 为 8.9523ms。 文献 [9,10] 采 用 双 线性 配对 本 方案 仅 支 持 网 关 对 智能 电表 进行 一 对 一 的 单 点 认证 ， 
运算 和 指数 运算 ， 大 幅 增 加 了 计算 量 。 文 献 [12,17,20] 主 要 采 ”网关 的 计算 成 本 与 其 管辖 区 域内 的 智能 电表 数量 成 线性 关系 。 
用 ECC 点 乘 运算 ， 然 而 ECC 点 乘 运 算 的 使 用 次 数 均 超 过 本 ”在 智能 电表 部 署 愈 发 完善 的 情况 下 ， 网 关 可 能 在 同一 时 间 段 
方案 。 本 方案 的 计算 成 本 相 比 于 文献 [9,10,12,17,20] 分 别 减少 。 需要 进行 大 量 的 认证 服务 ， 这 将 会 导致 很 高 的 网 络 时 延 ， 并 
了 74496, 70.896, 60.096, 33.496, 42.796. Gope 等 人 方案 中 且 对 网 关 的 计算 能 力也 是 一 个 极 大 的 考验 。 下 一 步 将 研究 单 


主要 采用 哈 希 散 列 函数 构建 其 认证 方案 ， 没 有 额外 的 高 成 本 ”个 网 关 对 多 个 智能 电表 进行 批量 认证 以 减少 网 关 的 计算 负担 。 
运算 ， 计算 成 本 较 低 。 然而 Ed 1 可 知 ， Gope 等 人 方 E3U 参考 文献 : 
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